高危 Drupal 缓存污染致敏感信息泄漏

CVE编号

N/A

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-09-22
漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。2023年9月,官方披露SA-CORE-2023-006 Drupal 缓存污染致敏感信息泄漏漏洞,在特定条件下攻击者可利用JSON:API 报错等配合缓存污染获取相关敏感信息,并可进一步利用。


影响范围
8.7.0 <= Drupal < 9.5.11
10.0 <= Drupal < 10.0.11
10.1 <= Drupal < 10.1.4

安全版本
Drupal 7 系列不受影响
Drupal 10.1.4 及其以上
Drupal 10.0.11 及其以上
Drupal 9.5.11 及其以上

其余版本,官方已停止相关安全支持,建议受影响范围内的均升级至最新版本。
解决建议
升级至安全版本及其以上。
阿里云评分
7.5
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
阿里云安全产品覆盖情况